Din guide til at købe Compliance-software

GDPR er ikke noget, man bare lige kæmper sig igennem på en eftermiddag eller håndterer i et Excel-ark. Loven indeholder næsten 300 sider, 11 kapitler og 91 bestemmelser. Og det slutter faktisk ikke her. For GDPR er på mange måder (helt bevidst) formuleret bredt og generelt, så det er op til myndighederne og domstolene at fortolke og forvalte loven.

Det stiller krav til dig som virksomhed, og da de færreste organisationer har én dedikeret medarbejderressource til at varetage arbejdet med GDPR-Compliance, vælger mange at implementere og bruge et GDPR-system.

I denne artikel dykker vi ned i GDPR-systemer, herunder hvad, hvorfor og hvordan. Vores mål er at klæde dig på til at vurdere, hvilken platform (hvis nogen) der er den rigtige for dig, og hvad du skal være opmærksom på, når det kommer til Compliance-software.

Hvad er et GDPR-system?

Lad os starte med helt grundlæggende at svare på spørgsmålet i overskriften.

Et GDPR-system er en platform, der hjælper dig med at sikre, at du efterlever bestemmelserne i GDPR igennem skabeloner, frameworks for løbende compliance audits, infrastruktur ift. sikkerhedsforanstaltninger mv.

På samme måde som du bruger et regnskabssystem til at overholde reglerne for løbende bogføring og årsregnskabsloven, fungerer et GDPR-system som en centraliseret infrastruktur for alt, der har med GDPR-Compliance at gøre.

Det afhænger selvfølgelig meget af det enkelte GDPR-system, hvilke konkrete opgaver du helt eller delvist kan håndtere via platformen. Nogle af de funktioner og arbejdsopgaver, der er værd at fremhæve, omfatter blandt andet:

  1. Infrastruktur: Opbygning af en intern struktur og organisering for arbejdet med Compliance & Privacy.
  2. Planlægning af aktiviteter: Kortlægning af aktiviteter hen over året, der skal igangsættes eller afsluttes.
  3. Fortegnelse over behandlingsaktiviteter: Løbende dokumentation af de arbejdsprocesser, hvori du behandler persondata (også kaldet behandlingsaktiviteter).
  4. Samtykker: Gennemgang og stikprøvekontrol af indsamlede samtykker ift. gyldighed.
  5. Databehandlere: Løbende kontrol og tilsyn med databehandlere og deres overholdelse af databehandleraftaler.
  6. Overførsler: Overblik over og indsigt i behandlingshjemmel ift. overførsler til tredjelande.
  7. IT-sikkerhed: Tests og kontrol af interne procedurer og log for sikkerhedsrelaterede hændelser.
  8. Awareness: Planlægning af awareness-træning for medarbejdere.
  9. Frister: Kontrol af interne processer ift. sletning af persondata og overholdelse af frister.
  10. Risikovurdering: Løbende review af risikovurderinger på tværs af organisationen.

 

Hvorfor skal du (overveje at) investere i et GDPR-system?

Du skal overholde GDPR. Her er der ikke så meget at rafle om. Men hvordan du sikrer, at du er på den rigtige side af loven, er din beslutning.
Et GDPR-system kan hjælpe dig med at holde overblik og sikre, at du følger jeres Compliance-aktiviteter til dørs, og i rigtig mange tilfælde vil det være en bedre løsning end at spare et par tusind kroner om måneden ved at bruge Excel – ja, eller slet ikke at gøre noget.

Lad os kigge lidt nærmere på de største fordele ved at implementere GDPR-software i din virksomhed.

Alt samlet ét sted – uafhængigt af interne stakeholders
En af de ting, der ofte giver grå hår, når det kommer til GDPR-Compliance, er organisatorisk og strukturelt rod, der kan være skyld i tab af data. Det kan være en mappeinfrastruktur, der er umulig at gennemskue, eller at procedurerne for, hvor specifikke personoplysninger skal opbevares, er uklare.

Det kan måske gå an, hvis der er én eller to personer, som har overblikket og kan tage ansvaret for den måde, I gør det på i dag, men hvad hvis de stakeholders stopper på et tidspunkt eller blive syge? Compliance holder aldrig ferie.

Med et GDPR-system er alt samlet ét sted, og der er klare retningslinjer for brugen af de forskellige funktioner. Det giver en mere struktureret tilgang til arbejdet med Compliance, hvilket også minimerer risikoen for fejl eller sårbarhed over for organisatoriske ændringer. 

Effektive arbejdsgange og -processer
Langt de fleste GDPR-systemer tilbyder i en eller anden udstrækning automatisering eller templates, der gør dit arbejde nemmere. Ud med manuelle processer, der suger livskraft ud af de fleste, og som alligevel ikke i sig selv bidrager med nogen værdi, men bare skal gøres.

Vælger du en løsning, hvor du får stillet worksheets, skabeloner og andre hjælpeværktøjer til rådighed, sparer du ikke kun tid på selve udarbejdelsen af relevante dokumenter. Du kan måske også effektivisere andre dele af dine Compliance-processer ved at opsætte automatiserede arbejdsgange, herunder påmindelser og notifikationer om f.eks. sletning, aktiviteter og kontroller.

Følger med teknologien og den juridiske udvikling
Teknologi og jura står aldrig stille, og det betyder, at det, der var lovligt i går, ikke nødvendigvis er det i morgen. Især inden for persondata og datasikkerhed går tingene stærkt, og det stiller krav til, at du løbende holder dig selv og dine processer opdateret.

Med et GDPR-system sidder du ikke alene med den opgave. Platformene har selvfølgelig en interesse i at tilpasse sig ændringer i relevant lovgivning, så store dele af de ting, der berører dig og din virksomhed, enten bliver løst direkte af din softwareløsning eller ved opfordring til dig, så du selv kan gøre det.

Nemt og hurtigt at implementere
Afhængigt af om du vælger at købe eller bygge din egen løsning (læs i øvrigt vores artikel om emnet her), kan du komme relativt hurtigt i gang med at implementere langt de fleste platforme. Hvis du sidder i et hjemmebygget setup i dag, skal du altså ikke være nervøs for, at du skal starte helt forfra og først kan være i luften om et halvt år. Du kan for de fleste systemers vedkommende være oppe at køre inden for et par dage.

Support og rådgivning
Man kender først vigtigheden af god support og rådgivning, når man har brug for den – lidt ligesom med forsikringer. Har du en stor IT-afdeling internt i virksomheden i dag, er punktet måske mindre vigtigt, selvom du om ikke andet i så fald kan bruge din systemleverandør til sparring. Arbejder du i en mindre virksomhed uden de store IT-mæssige kompetencer, kan support og rådgivning være guld værd.

Hvordan finder du det rigtige GDPR-system?

Som du vil finde ud af i det følgende afsnit, er der rigtig mange muligheder og platforme at vælge mellem.

Nogle egner sig godt til udvalgte brancher og nicher; andre er mere generelle og dækker virksomheder på tværs af sektorer.

Nogle fokuserer på små og mellemstore virksomheder; andre på de helt store corporate- og enterprise-løsninger.

Og så er der platforme, som udelukkende arbejder med en lille gren af Compliance, mens andre forsøger at favne så bredt som muligt.

Der er desværre ikke nogen formel for, hvad det rigtige valg er i lige netop din kontekst. Det afhænger af rigtig mange ting, som er forskellige fra organisation til organisation. Ikke desto mindre har vi forsøgt at samle de forhold, der har størst indflydelse på dit valg af løsning nedenfor:

  1. Købe eller bygge: Foretrækker du en løsning, der er hurtig og nem at implementere, og som bygger på best practice på tværs af mange virksomheder, eller vil du gerne eje og styre systemet selv?
  2. Behov: Hvilke personoplysninger behandler du? Jo mere personfølsomme oplysninger du behandler, desto striksere krav til selve behandlingen og dermed dit valg af system.
  3. Integrationer: Har du andre systemer eller teknologier, systemet skal kunne snakke sammen med? Skal der udvikles en integration fra bunden?
  4. Support: Hvor stort er dit behov for support og løbende rådgivning i brugen af systemet?
  5. Ekstern adgang til systemet (fx DPO eller rådgiver): Skal din eksterne DPO eller juridiske rådgiver kunne tilgå platformen for at kunne kvalitetssikre hele eller dele af setuppet eller bistå med fx risikovurdering eller øvrige opgaver?
  6. Behov for specialfunktionalitet: Har du behov for særlig funktionalitet ift. den type af personoplysninger, I behandler, eller måden, hvorpå I indsamler/opbevarer/behandler dem?
  7. Arbejdsgange og brugerstyring: Styres alt, der har med GDPR at gøre, af én person, eller er det vigtigt at kunne uddelegere arbejdsopgaver til de afdelinger og medarbejdere, der i praksis anvender systemer (databehandlere) og persondata som fx HR, Marketing el.lign.?
  8. Tidshorisont: Hvornår skal systemet være implementeret i virksomheden?
  9. Dokumentation: Hvilket behov har du for afrapportering og dokumentation over for interne eller eksterne stakeholders?
  10. Referencer: Hvor meget betyder referencer fra lignende virksomheder/brancher?
  11. Budget: Hvilken værdi har det for din virksomhed at kunne dokumentere Compliance, og hvilken omkostning vil et forbud eller en bøde kunne påføre dig? Dette beløb fratrukket omkostninger til intern tid giver dig et bud på, hvor meget du kan investere.

Stil dig selv ovenstående spørgsmål – så er du godt klædt på til at gå ud i markedet med afsæt i det, der er væsentligt for lige netop din beslutning og valg af leverandør.

 

10 ting, du skal spørge potentielle leverandører om

Så langt, så godt. Du har nu dannet dig et indtryk af, hvad markedet for GDPR-software har at byde på. Du har måske endda lavet en lille liste over de muligheder, der er interessante, og som du skal have en snak med. Men hvad skal du huske at spørge om, så du får et fuldstændigt overblik over fordele og ulemper?

Vi har givet vores bud på de 10 vigtigste spørgsmål, du skal have med på mødet med en potentiel leverandør af dit GDPR-system:

  1. Hvor opbevarer leverandøren jeres data? Hvis virksomheden er beliggende uden for EU, skal der være en gyldig hjemmel til at overføre personoplysninger til dem.
  2. Har leverandøren nogen eksterne, juridiske auditors, der kvalitetssikrer deres løsninger og holder de eksisterende funktioner opdateret ift. udviklingen i relevant lovgivning? Vær opmærksom på, at der kan være stor forskel på erfaring og kompetence hos den juridiske kontrol.
  3. Hvilke dele af dit Compliance-arbejde kan håndteres helt eller delvist af systemet i dag?
  4. Hvordan ser leverandørens product roadmap ud? Det er selvfølgelig vigtigst, hvilke funktioner du får i dag, men produktets historiske udvikling og lanceringer af ny funktionalitet samt fremtidsplaner bør ikke være uvæsentligt i dit valg.
  5. Hvilke muligheder har du for at samle funktioner i systemet? Mange ønsker at samle alt i ét system (GDPR, awareness, whistleblower-funktioner, InfoSec mv.), hvilket kan være fristende, men også skabe unødvendig kompleksitet.
  6. Hvordan fungerer deres onboarding i systemet? Hjælper leverandøren med migration fra jeres nuværende løsning/system, eller skal I selv håndtere denne del?
  7. Hvilke former for support er inkluderet i din licens? Er det udelukkende hjælp til produktet, eller er der mulighed for sparring ift. setuppet mere generelt?
  8. Hvilke integrationer tilbyder leverandøren som standard, og hvilke skal udvikles fra bunden?
  9. Hvor nemt er det at lave dokumentation og rapporter i systemet, så du kan dokumentere dit Compliance-arbejde?
  10. Hvilke muligheder har du for at prøve kræfter med systemet, inden du forpligter dig?

Med ovenstående spørgsmål i rygsækken har du nu en grundlæggende indsigt, som du, sammen med de mere specifikke spørgsmål for lige netop din organisation, kan træffe en beslutning på baggrund af.

Hos .legal hjælper vi dagligt virksomheder med at afklare behov omkring valg af privacy platform, og kan også være behjælpelige med at svare på dine spørgsmål. Book en konsultation her eller send dine spørgsmål på mail. 

Ønsker du at afprøve en platform på egen hånd, har du mulighed for at afprøve .legal Privacy Platform gratis og uforpligtende i 30 dage.

Prøv Privacy gratis i 30 dage

140+ store og små virksomheder bruger .legal